翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Lake Formation のペルソナと IAM 許可のリファレンス このセクションでは、Lake Formation の推奨されるペルソナと、これらのペルソナに推奨される  AWS Identity and Access Management  (IAM) 許可を一覧表示します。Lake Formation 許可については、「[Lake Formation 許可のリファレンス](lf-permissions-reference.md)」を参照してください。 ## AWS Lake Formation ペルソナ 次の表に、推奨される AWS Lake Formation ペルソナを示します。 **Lake Formation のペルソナ** | ペルソナ | 説明 | | --- | --- | | IAM 管理者 (スーパーユーザー) | (必須) IAM ユーザーとロールを作成できるユーザーです。AdministratorAccess AWS 管理ポリシーがあります。すべての Lake Formation リソースに対するすべての許可を持っています。データレイク管理者を追加できます。データレイク管理者としても指定されている場合を除き、Lake Formation 許可を付与することはできません。 | | データレイク管理者 | (必須) Amazon S3 ロケーションの登録、データカタログへのアクセス、データベースの作成、ワークフローの作成と実行、他のユーザーへの Lake Formation アクセス許可の付与、 AWS CloudTrail ログの表示を行うことができるユーザー。IAM 許可の数は IAM 管理者よりも少ないですが、データレイクを管理するには十分な許可を持っています。他のデータレイク管理者を追加することはできません。 | | 読み取り専用管理者 | (オプション) プリンシパル、データカタログリソース、アクセス許可、および  AWS CloudTrail  ログを表示できますが、更新するアクセス許可を持たないユーザー。 | | データエンジニア | (オプション) データベースの作成、クローラとワークフローの作成と実行、およびクローラとワークフローが作成する Data Catalog テーブルに対する Lake Formation 許可の付与を実行できるユーザーです。すべてのデータエンジニアをデータベース作成者にすることが推奨されます。詳細については、「[データベースを作成する](creating-database.md)」を参照してください。 | | データアナリスト | (オプション) Amazon Athenaなどを使用して、データレイクに対するクエリを実行できるユーザーです。クエリを実行するために十分な許可のみを持っています。 | | ワークフローロール | (必須) ユーザーに代わってワークフローを実行するロールです。このロールは、ブループリントからワークフローを作成するときに指定します。 | **注記** Lake Formation では、データベースの作成後に追加されたデータレイク管理者はアクセス許可を付与できますが、SELECT や DESCRIBE などのデータアクセス許可が自動的に付与されるわけではありません。データベースを作成する管理者は、それらのデータベースに対する `SUPER` アクセス許可を受け取ります。この動作は意図したものであり、すべての管理者が自身に必要なアクセス許可を付与できますが、これらのアクセス許可が既存のリソースに自動的に適用されることはありません。したがって、管理者は管理者権限が割り当てられる前に存在していたデータベースへのアクセスを自分自身に明示的に付与する必要があります。 ## AWS Lake Formation の マネージドポリシー AWS 管理ポリシーとインラインポリシー AWS Lake Formation を使用して、 の操作に必要な AWS Identity and Access Management (IAM) アクセス許可を付与できます。Lake Formation では、次の AWS 管理ポリシーを使用できます。 ### AWS マネージドポリシー:AWSLakeFormationDataAdmin [AWSLakeFormationDataAdmin](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin) ポリシーは、データレイクを管理する AWS Glue ための AWS Lake Formation や などの関連サービスへの管理アクセスを許可します。 ユーザー、グループおよびロールに `AWSLakeFormationDataAdmin` をアタッチできます。 **アクセス許可の詳細** + `CloudTrail` – プリンシパルに AWS CloudTrail ログの表示を許可します。これは、データレイクの設定エラーを確認するために必要です。 + `Glue` — プリンシパルに対して、Data Catalog 内のメタデータテーブルおよびデータベースの表示、作成、更新を許可します。これには、`Get`、`List`、`Create`、`Update`、`Delete`、`Search` で始まる API オペレーションが含まれます。これはデータレイクテーブルのメタデータを管理するために必要です。 + `IAM` — プリンシパルに対して、IAM ユーザー、ロール、およびロールにアタッチされたポリシーに関する情報の取得を許可します。これは、データ管理者が IAM ユーザーおよびロールを確認して表示し、Lake Formation のアクセス許可を付与するために必要です。 + `Lake Formation` — データレイク管理者に対して、データレイクを管理するために必要な Lake Formation のアクセス許可を付与します。 + `S3` — プリンシパルに対して、Amazon S3 バケットとその場所に関する情報を取得し、データレイクのデータロケーションを設定することを許可します。 ``` "Statement": [ { "Sid": "AWSLakeFormationDataAdminAllow", "Effect": "Allow", "Action": [ "lakeformation:*", "cloudtrail:DescribeTrails", "cloudtrail:LookupEvents", "glue:CreateCatalog", "glue:UpdateCatalog", "glue:DeleteCatalog", "glue:GetCatalog", "glue:GetCatalogs", "glue:GetDatabase", "glue:GetDatabases", "glue:CreateDatabase", "glue:UpdateDatabase", "glue:DeleteDatabase", "glue:GetConnections", "glue:SearchTables", "glue:GetTable", "glue:CreateTable", "glue:UpdateTable", "glue:DeleteTable", "glue:GetTableVersions", "glue:GetPartitions", "glue:GetTables", "glue:ListWorkflows", "glue:BatchGetWorkflows", "glue:DeleteWorkflow", "glue:GetWorkflowRuns", "glue:StartWorkflowRun", "glue:GetWorkflow", "s3:ListBucket", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "iam:ListUsers", "iam:ListRoles", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": "*" }, { "Sid": "AWSLakeFormationDataAdminDeny", "Effect": "Deny", "Action": [ "lakeformation:PutDataLakeSettings" ], "Resource": "*" } ] } ``` **注記** `AWSLakeFormationDataAdmin` ポリシーは、データレイク管理者に必要なすべての許可を付与しません。ワークフローの作成と実行、およびサービスリンクロール `AWSServiceRoleForLakeFormationDataAccess` を使用したロケーションの登録には、追加の許可が必要です。詳細については、「[データレイク管理者を作成する](initial-lf-config.md#create-data-lake-admin)」および「[Lake Formation のサービスリンクロールの使用](service-linked-roles.md)」を参照してください。 ### AWS マネージドポリシー:AWSLakeFormationCrossAccountManager [AWSLakeFormationCrossAccountManager](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager) ポリシーは、Lake Formation を介して AWS Glue リソースへのクロスアカウントアクセスを提供し、 AWS Organizations や などの他の必要なサービスへの読み取りアクセスを許可します AWS RAM。 ユーザー、グループおよびロールに `AWSLakeFormationCrossAccountManager` をアタッチできます。 **アクセス許可の詳細** このポリシーには、以下のアクセス許可が含まれています。 + `Glue` — プリンシパルに対して、アクセス制御用の Data Catalog リソースポリシーの設定または削除を許可します。 + `Organizations` — プリンシパルに対して、組織のアカウントおよび組織単位 (OU) 情報の取得を許可します。 + `ram:CreateResourceShare` — プリンシパルに対して、リソース共有の作成を許可します。 + `ram:UpdateResourceShare` —プリンシパルに対して、指定したリソース共有の一部のプロパティの変更を許可します。 + `ram:DeleteResourceShare` — プリンシパルに対して、指定したリソース共有の削除を許可します。 + `ram:AssociateResourceShare` — プリンシパルに対して、指定したプリンシパルのリストとリソースのリストをリソース共有に追加することを許可します。 + `ram:DisassociateResourceShare` — プリンシパルに対して、指定したプリンシパルまたはリソースを、指定したリソース共有への参加から除外することを許可します。 + `ram:GetResourceShares` — プリンシパルに対して、ユーザー自身が所有しているか、ユーザー自身と共有しているリソース共有に関する詳細を取得することを許可します。 + `ram:RequestedResourceType` — プリンシパルに対して、リソースタイプ (データベース、テーブル、またはカタログ) の取得を許可します。 + `AssociateResourceSharePermission` – プリンシパルがリソース共有に含まれるリソースタイプの AWS RAM アクセス許可を追加または置換できるようにします。リソース共有内のリソースタイプごとに、1 つのアクセス許可のみを関連付けることができます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [{ "Sid": "AllowCreateResourceShare", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ram:RequestedResourceType": [ "glue:Table", "glue:Database", "glue:Catalog" ] } } }, { "Sid": "AllowManageResourceShare", "Effect": "Allow", "Action": [ "ram:UpdateResourceShare", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:GetResourceShares" ], "Resource": "*", "Condition": { "StringLike": { "ram:ResourceShareName": [ "LakeFormation*" ] } } }, { "Sid": "AllowManageResourceSharePermissions", "Effect": "Allow", "Action": [ "ram:AssociateResourceSharePermission" ], "Resource": "*", "Condition": { "ArnLike": { "ram:PermissionArn": [ "arn:aws:ram::aws:permission/AWSRAMLFEnabled*" ] } } }, { "Sid": "AllowXAcctManagerPermissions", "Effect": "Allow", "Action": [ "glue:PutResourcePolicy", "glue:DeleteResourcePolicy", "organizations:DescribeOrganization", "organizations:DescribeAccount", "ram:Get*", "ram:List*" ], "Resource": "*" }, { "Sid": "AllowOrganizationsPermissions", "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent" ], "Resource": "*" } ] } ``` ------ ### AWS マネージドポリシー:AWSGlueConsoleFullAccess [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess) ポリシーは、ポリシーがアタッチされている ID が を使用する場合、 AWS Glue リソースへのフルアクセスを許可します AWS マネジメントコンソール。このポリシーで指定されたリソースの命名規則に従った場合、ユーザーは完全なコンソール機能を使用できます。このポリシーは通常、 AWS Glue コンソールのユーザーにアタッチされます。 さらに、AWS Glue と Lake Formation は、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、および Amazon CloudWatch などの関連サービスへのアクセスを許可するために、サービスロール `AWSGlueServiceRole` を引き受けます。 ### AWS managed policy:LakeFormationDataAccessServiceRolePolicy このポリシーは、ユーザーのリクエストに応じてサービスがリソースに対してアクションを実行することを許可する、`ServiceRoleForLakeFormationDataAccess` というサービスリンクロールにアタッチされます。このポリシーを IAM ID にアタッチすることはできません。 このポリシーにより、 Amazon Athena や Amazon Redshift などの Lake Formation 統合 AWS サービスが、サービスにリンクされたロールを使用して Amazon S3 リソースを検出できるようになります。 詳細については、[Lake Formation のサービスリンクロールの使用](service-linked-roles.md) を参照してください。 **アクセス許可の詳細** このポリシーには、次の許可が含まれています。 + `s3:ListAllMyBuckets` - 認証されたリクエスト送信者が所有するすべてのバケットのリストを返します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "LakeFormationDataAccessServiceRolePolicy", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] } ``` ------ **AWS 管理ポリシーに対する Lake Formation の更新** このサービスがこれらの変更の追跡を開始してからの Lake Formation の AWS マネージドポリシーの更新に関する詳細を表示します。 | 変更 | 説明 | 日付 | | --- | --- | --- | | Lake Formation が AWSLakeFormationCrossAccountManager ポリシーを更新しました。 | Lake Formation は、StringLike 条件演算子を、IAM による ARN 形式チェックの実行を可能にする ArnLike 演算子に置き換えて、[AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager) ポリシーを強化しました。 | 2025 年 1 月 | | Lake Formation が AWSLakeFormationDataAdmin ポリシーを更新しました。 | Lake Formation は、マルチカタログ機能の一部として次の AWS Glue Data Catalog CRUD API を追加して、[AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin) ポリシーを強化しました。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html)この管理ポリシーの変更は、Lake Formation 管理者ペルソナにこれらの新しいオペレーションに対する IAM アクセス許可がデフォルトで付与されるようにするためです。 | 2024 年 12 月 | | Lake Formation が AWSLakeFormationCrossAccountManager ポリシーを更新しました。 | Lake Formation で [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager) ポリシーが強化され、ポリシーステートメントに Sid 要素が追加されました。 | 2024 年 3 月 | | Lake Formation が AWSLakeFormationDataAdmin ポリシーを更新しました。 | Lake Formation で [AWSLakeFormationDataAdmin](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationDataAdmin) ポリシーが強化され、ポリシーステートメントに Sid 要素が追加され、余分なアクションが削除されました。 | 2024 年 3 月 | | Lake Formation が LakeFormationDataAccessServiceRolePolicy ポリシーを更新しました。 | Lake Formation で [LakeFormationDataAccessServiceRolePolicy](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/LakeFormationDataAccessServiceRolePolicy) ポリシーが強化され、ポリシーステートメントに Sid 要素が追加されました。 | 2024 年 2 月 | | Lake Formation が AWSLakeFormationCrossAccountManager ポリシーを更新しました。 | Lake Formation では、ハイブリッドアクセスモードでのクロスアカウントデータ共有を可能にする新しいアクセス許可を追加し、[AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager) ポリシーを強化しました。 | 2023 年 10 月 | | Lake Formation が AWSLakeFormationCrossAccountManager ポリシーを更新しました。 | Lake Formation は [AWSLakeFormationCrossAccountManager](https://us-east-1.console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLakeFormationCrossAccountManager) ポリシーを強化し、リソースの最初の共有時に、受信者アカウントごとに 1 つのリソース共有のみを作成するようになりました。以降に同じアカウントで共有されるすべてのリソースは、同じリソース共有にアタッチされます。 | 2022 年 5 月 6 日 | | Lake Formation が変更の追跡を開始しました。 | Lake Formation は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2022 年 5 月 6 日 | ## ペルソナに推奨される許可 以下は、各ペルソナに推奨される許可です。IAM 管理者であるユーザーは、すべてのリソースに対するすべての許可を持っているため、ここのは含まれていません。 **Topics** + [データレイク管理者の許可](#persona-dl-admin) + [読み取り専用管理者のアクセス許可](#persona-read-only-admin) + [データエンジニアの許可](#persona-engineer) + [データアナリストの許可](#persona-user) + [ワークフローロールの許可](#persona-workflow-role) ### データレイク管理者の許可 **重要** 次のポリシーでは、** を有効な AWS アカウント番号に置き換え、** を、「」で定義されているように、ワークフローを実行するアクセス許可を持つロールの名前に置き換えます[ワークフローロールの許可](#persona-workflow-role)。 | ポリシータイプ | ポリシー | | --- | --- | | AWS マネージドポリシー | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) オプションの AWS 管理ポリシーの詳細については、「」を参照してください[データレイク管理者を作成する](initial-lf-config.md#create-data-lake-admin)。 | | インラインポリシー (Lake Formation サービスリンクロールの作成用) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "lakeformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam:::role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
        }
    ]
}
| | (オプション) インラインポリシー (ワークフローロールのための PassRole ポリシー)。これは、データレイク管理者がワークフローを作成して実行する場合にのみ必要になります。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | | (オプション) インラインポリシー (アカウントがクロスアカウント Lake Formation 許可を付与または受けている場合)。このポリシーは、 AWS RAM リソース共有の招待を承諾または拒否し、組織へのクロスアカウントアクセス許可の付与を有効にするためのものです。 ram:EnableSharingWithAwsOrganizationは、管理アカウントのデータレイク管理者 AWS Organizations にのみ必要です。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | ### 読み取り専用管理者のアクセス許可 | ポリシータイプ | ポリシー | | --- | --- | | インラインポリシー (ベーシック) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | ### データエンジニアの許可 **重要** 次のポリシーでは、** を有効な AWS アカウント番号に置き換え、** をワークフローロールの名前に置き換えます。 | ポリシータイプ | ポリシー | | --- | --- | | AWS マネージドポリシー | AWSGlueConsoleFullAccess | | インラインポリシー (ベーシック) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | | インラインポリシー (トランザクション内での操作を含む、管理対象テーブルでの操作用) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | | インラインポリシー (Lake Formation のタグベースのアクセス制御 (LF-TBAC) 方式を使用したメタデータアクセス制御用) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | | インラインポリシー (ワークフローロールのための PassRole ポリシー) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | ### データアナリストの許可 | ポリシータイプ | ポリシー | | --- | --- | | AWS マネージドポリシー | AmazonAthenaFullAccess | | インラインポリシー (ベーシック) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartitions",
                "lakeformation:GetResourceLFTags",
                "lakeformation:ListLFTags",
                "lakeformation:GetLFTag",
                "lakeformation:SearchTablesByLFTags",
                "lakeformation:SearchDatabasesByLFTags"                
           ],
            "Resource": "*"
        }
    ]
}
| | (オプション) インラインポリシー (トランザクション内での操作を含む、管理対象テーブルでの操作用) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | ### ワークフローロールの許可 このロールには、ワークフローを実行するために必要な許可があります。これらの許可を持つロールは、ワークフローを作成するときに指定します。 **重要** 次のポリシーでは、** を有効な AWS リージョン識別子 (例: `us-east-1`)、** を有効な AWS アカウント番号、** をワークフローロールの名前、** を AWS CloudTrail ログへの Amazon S3 パスに置き換えます。 | ポリシータイプ | ポリシー | | --- | --- | | AWS マネージドポリシー | AWSGlueServiceRole | | インラインポリシー (データアクセス) | 
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Lakeformation",
            "Effect": "Allow",
            "Action": [
                 "lakeformation:GetDataAccess",
                 "lakeformation:GrantPermissions"
             ],
            "Resource": "*"
        }
    ]
}
| | インラインポリシー (ワークフローロールのための PassRole ポリシー) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) | | インラインポリシー ( AWS CloudTrail ログなど、データレイクの外部にデータを取り込む場合) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/lake-formation/latest/dg/permissions-reference.html) |